Куда я попал?

SECURITM это SGRC система, автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.

Подробнее

BDU:2019-03107

CVSS: 9.8

20.03.2019

Уязвимость компонента org.slf4j.ext.EventData модуля slf4j-ext библиотеки SLF4J, позволяющая нарушителю обойти существующие ограничения безопасности

Уязвимость компонента org.slf4j.ext.EventData модуля slf4j-ext библиотеки SLF4J связана с восстановлением в памяти недостоверной структуры данных. Эксплуатация уязвимости позволяет нарушителю, действующему удаленно, обойти существующие ограничения безопасности

Статус уязвимости:	Подтверждена производителем Уязвимость устранена
Дата выявления:	20.03.2019
Класс уязвимости:	Уязвимость архитектуры
Наличие эксплойта:	Данные уточняются
Способ эксплуатации:	Манипулирование структурами данных
Способ устранения:	Нет данных
Меры по устранению:	Использование рекомендаций: Для программных продуктов QOS.CH SLF4J: https://jira.qos.ch/browse/SLF4J-430 Для программных продуктов Red Hat Inc.: https://access.redhat.com/security/cve/cve-2018-8088 Для программных продуктов Oracle Corp.: https://www.oracle.com/technetwork/security-advisory/cpuapr2019-5072813.html

Идентификатор типа ошибки

Идентификатор, установленный в соответствии с общим перечнем ошибок CWE

Идентификатор	Описание
CWE-502	Десериализация недоверенных данных

Идентификаторы CVE уязвимостей

Идентификатор, базы данных общеизвестных уязвимостей информационной безопасности

Идентификатор	Описание
CVE-2018-8088	org.slf4j.ext.EventData in the slf4j-ext module in QOS.CH SLF4J before 1.8.0-beta2 allows remote attackers to bypass intended...

CVSS

Система общей оценки уязвимостей

Оценка	Severity	Версия	Базовый вектор
10	CRITICAL	2.0	AV:N/AC:L/Au:N/C:C/I:C/A:C
9.8	HIGH	3.0	AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

Идентификаторы других систем описаний уязвимостей

CVE-2018-8088

Вендор:	Red Hat Inc. QOS Oracle Corp.
Тип ПО:	Операционная система Прикладное ПО информационных систем
Наименование ПО:	Red Hat Enterprise Linux JBoss Enterprise Application Platform Jboss Operations Network Jboss Fuse Jboss BRMS Data Grid SLF4J JBoss EAP BPMS Utilities Framework
Версия ПО:	Desktop 7 (Red Hat Enterprise Linux) Workstation 7 (Red Hat Enterprise Linux) Server 7 (Red Hat Enterprise Linux) 6 for RHEL 5 Server (JBoss Enterprise Application Platform) 6.4 (JBoss Enterprise Application Platform) 6 for RHEL 6 Server (JBoss Enterprise Application Platform) 7.0 for RHEL 6 Server (JBoss Enterprise Application Platform) 7.0 for RHEL 6 Server (eap7-jboss-ec2-eap) (JBoss Enterprise Application Platform) 6.3 for RHEL 7 Server (slf4j-eap6) (JBoss Enterprise Application Platform) 6.3 for RHEL 7 Server (JBoss Enterprise Application Platform) 7.0 for RHEL 6 Server (eap7-slf4j) (JBoss Enterprise Application Platform) 7.0 for RHEL 7 Server (JBoss Enterprise Application Platform) 7.0 for RHEL 7 Server (eap7-jboss-ec2-eap) (JBoss Enterprise Application Platform) 6 for RHEL 6 Server (slf4j-eap6) (JBoss Enterprise Application Platform) 6 for RHEL 6 Server (jboss-ec2-eap) (JBoss Enterprise Application Platform) 7.0 for RHEL 7 Server (eap7-slf4j) (JBoss Enterprise Application Platform) 6 for RHEL 5 Server (slf4j-eap6) (JBoss Enterprise Application Platform) 3.3 (Jboss Operations Network) 7 (Jboss Fuse) 6.4 (Jboss BRMS) 7.0 (Jboss BRMS) 7.2 (Data Grid) до 1.7.25 включительно (SLF4J) 1.8.0 Alpha1 (SLF4J) 1.8.0 Alpha2 (SLF4J) 1.8.0 Beta0 (SLF4J) 1.8.0 Beta1 (SLF4J) 1.8.0 Alpha0 (SLF4J) 7.1 (JBoss EAP) 6.4 (BPMS) 4.4.0.0.0 (Utilities Framework) 4.3.0.6.0 (Utilities Framework) 4.3.0.5.0 (Utilities Framework) 4.3.0.4.0 (Utilities Framework) 4.3.0.3.0 (Utilities Framework) 4.3.0.2.0 (Utilities Framework) 4.2.0.3.0 (Utilities Framework) 4.2.0.2.0 (Utilities Framework)
Ссылки на источники:	https://www.oracle.com/technetwork/security-advisory/cpuapr2019-5072813.html https://jira.qos.ch/browse/SLF4J-430 https://access.redhat.com/security/cve/cve-2018-8088 https://www.cvedetails.com/cve/CVE-2018-8088/ https://www.oracle.com/technetwork/security-advisory/cpuapr2019-5072813.html

Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.

Каталог уязвимостей - БДУ ФСТЭК - BDU:2019-03107